Re: ALLEGRo - po raz drugi... - Grupy dyskusyjne w eGospodarka.pl

eGospodarka.pl › Prawo › Grupy › pl.soc.prawo › ALLEGRo - po raz drugi... › Re: ALLEGRo - po raz drugi...

Path: news-archive.icm.edu.pl!news.rmf.pl!agh.edu.pl!news.agh.edu.pl!news.onet.pl!lub
lin.pl!news.nask.pl!news.nask.org.pl!news.germany.com!postnews.google.com!n33g2
000cwc.googlegroups.com!not-for-mail
From: "kravietz" <p...@n...hush.com>
Newsgroups: pl.soc.prawo
Subject: Re: ALLEGRo - po raz drugi...
Date: 1 Mar 2007 14:45:26 -0800
Organization: http://groups.google.com
Lines: 67
Message-ID: <1...@n...googlegroups.com>
References: <erg039$hlf$1@news.dialog.net.pl>
<45dc8a8d$0$13175$f69f905@mamut2.aster.pl>
NNTP-Posting-Host: 89.79.168.96
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-2"
Content-Transfer-Encoding: quoted-printable
X-Trace: posting.google.com 1172789143 5830 127.0.0.1 (1 Mar 2007 22:45:43 GMT)
X-Complaints-To: g...@g...com
NNTP-Posting-Date: Thu, 1 Mar 2007 22:45:43 +0000 (UTC)
In-Reply-To: <45dc8a8d$0$13175$f69f905@mamut2.aster.pl>
User-Agent: G2/1.0
X-HTTP-UserAgent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.2)
Gecko/20070219 Firefox/2.0.0.2,gzip(gfe),gzip(gfe)
Complaints-To: g...@g...com
Injection-Info: n33g2000cwc.googlegroups.com; posting-host=89.79.168.96;
posting-account=7WbZ8w0AAADxpZb9Cwcm7ua0phoZ-flw
Xref: news-archive.icm.edu.pl pl.soc.prawo:449315
[ ukryj nagłówki ]
On 21 Lut, 20:31, gerlach <g...@l...com> wrote:

> Twój przypadek udowadnia, że mechanizmy autoryzacji użytkowników i
> zapewnienia bezpieczeństwa w Allegro są niewystarczające do
> przeprowadzania transakcji finansowych na duże kwoty.

Zgadza się, bo analiza ryzyka podpowiada że przy takich transakcjach
koszt ataku może być zrekompensowany wysokim zyskiem dla złodzieja, co
czyni całe przedsięwzięcie opłacalnym.

> Żeby to udowodnić proponowałbym się oprzeć na porównaniu do:
> 1. Warunków jakie musi spełniać kwalifikowanypodpiselektroniczny
> (którego podstawowym celem jest właśnie w celu zawierania umów przez
> internet)

Tylko że kwalifikowanego podpisu elektronicznego nikt nie używa
(http://ipsec.pl/) właśnie ze względu na jego bezpieczeństwo - z
wysokim bezpieczęństwem wiąże się zwykle wysoka nieużywalność :)

> Np. w systemach bankowości elektronicznej:
> 1. Całość transmisji jest szyfrowana i jest prowadzona po bezpiecznym
> protokole SSL lub TLS. W Allegro większość transmisji jest przesyłana w
> sposób umożliwiający podsłuch i przejęcie sesji przez kogoś innego.
> Istnieje nawet opcja nieszyfrowanego logowania!

Bo pewnie oszczędzają na akceleratorach SSL :) Nawiasem mówiąc ataki
na sesje opisywane przez hacking.pl były mocno przesadzone, bo Allegro
na każdym kroku się przed tym broni (nawet pomimo braku SSL) - zauważ,
że wymaga ponownego zalogowania przed krytycznymi operacjami i ma
bardzo krótki czas ważności sesji (kilka minut). Nie zdziwiłbym się
gdyby robili także regenerację PHPSESSID.

> 2. Banki do autoryzacji wykorzystują:
> - (najczęściej tajny) login,
> - tajne hasło, w większości przypadków o wymuszanej sile (długości,
> rodzaju występujących znaków).
> - hasła jednorazowe ze zdrapek lub tokena - tzn. dla każdej istotnej
> operacji hasło jest różne

Nawiasem mówiąc, polskie zdrapki pozytywnie wyróżniają się na tle
banków w innych krajach - zwłaszcza anglosaskich, gdzie tego typu
rozwiązań nie wprowadzano by nie utrudniać życia użytkownikom aż do
zeszłego roku (a w Polsce miał tak Citibank, który ma serwery w
Singapurze nawiasem mówiąc).

--
Wojciech Gustowski "E-społeczność" (e-book)
http://e-spolecznosc.zlotemysli.pl/pdfebook.php

"Dane i bezpieczeństwo" (free e-book)
http://ipsec.pl/contrib/Dane%20i%20bezpieczenstwo.pd
f

Bartosz Danowski i Łukasz Kozicki "Spam. Profilaktyka i obrona" (e-
book)
http://zwalcz-spam.zlotemysli.pl/pdfebook.php